Prezes UODO nałożył na administratora danych osobowych karę pieniężna w wysokości 136 tysięcy złotych za brak zgłoszenia naruszenia ochrony danych osobowych.
Badany przez UODO incydent spowodowany był przesłaniem przez współpracownika administratora do nieuprawnionego adresata wiadomości e-mail z niezaszyfrowanym, nie zabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób. W toku postępowania przed UODO, spółka wskazała, że niezwłocznie po wystąpieniu zdarzenia, dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych, jednakże po jej przeprowadzeniu uznała, iż nie doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia UODO. Odmiennego zdania był jednak adresat przedmiotowej wiadomości, który stał się nieuprawnionym adresatem danych osobowych i zainicjował postępowania przed UODO.
W ocenie Prezesa UODO, w przedmiotowej sprawie doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych tych osób. Wobec powyższego, miało miejsce naruszenie ochrony danych osobowych, które powinno zostać zgłoszone do Prezesa UODO, zgodnie z art. 33 ust. 1 RODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jako, że spółka zaniechała tego obowiązku, Prezes UODOD nałożył na nią karę pieniężną w wysokości 136 tysięcy złotych.
Art. 33 ust. 1 RODO stanowi, iż w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.